Kun agentin voi toimia — poistaa tiedostoja, suorittaa shell-komentoja, kutsua ulkoisia API:ta, käyttää rahaa — sen virheet (tai haitallinen kehote) muuttuvat todellisen maailman seurauksiksi. Puolustus on vähimmäisoikeudet plus hyväksymisportit plus eristäminen: anna sille vain mitä se tarvitsee, vaadi vahvistus kaikkeen peruuttamattomaan, ja suorita se paikassa, jossa se ei voi aiheuttaa pysyvää vahinkoa.
- DESTRUCTIVE actions → rm -rf, DROP TABLE, force-push → irreversible data loss
- ARBITRARY shell → run anything → privilege escalation, exfiltration
- EXTERNAL APIs/$$ → send emails, place orders, spend on cloud/LLM tokens
- SECRET exposure → leak API keys / .env / tokens into logs or outbound calls
- PROMPT INJECTION → untrusted input (a web page, an issue) hijacks the agent
Kehotteen injektio on terävä reuna: sisältö, jonka agentti lukee, voi sisältää ohjeita, joten mikä tahansa työkalu, jonka agentti voi kutsua, on saavutettavissa hyökkääjälle, joka hallitsee sitä sisältöä.
- LEAST PRIVILEGE / ALLOWLIST → only pre-approved commands & paths; deny by default
- APPROVAL FOR DESTRUCTIVE → human confirms deletes, payments, prod writes
- SANDBOX / DRY-RUN → preview the action; isolated container, no prod creds
- ISOLATED ENVIRONMENT → ephemeral VM/branch; blast radius = throwaway box
- AUDIT LOGS → record every tool call + args for review
- NO SECRETS IN CONTEXT → inject via env at runtime; never paste keys into prompts
- NETWORK LIMITS → egress allowlist; block arbitrary outbound requests
# Conceptual permission policy
tools:
read_file: { allow: true } # safe, reversible
run_shell: { allow: ["npm test", "git status"] } # allowlist only
delete_file: { allow: "ask" } # human approval required
send_email: { allow: "ask", sandbox: true } # dry-run first, then confirm
network:
egress: ["api.github.com"] # everything else blocked
Kuvio on porrastettu luottamus: lukeminen on ilmaista, peruutettavat kirjoitukset ovat halpoja, peruuttamattomat tai ulkoiset toiminnot vaativat vahvistusta, ja raha tai tuotanto vaatii eristämisen ja ihmisen silmukassa.
Agenttien arvo tulee siitä, että ne saavat toimia, mutta toiminta on juuri siellä, missä varma virhe tai hankittu kehote muuttuu poistetuksi dataksi, vuotaneeksi avaimeksi tai todelliseksi maksuksi. Suojauksien suunnittelu vähimmäisoikeuksien sallintalistoina, peruuttamattomien toimintojen sulkeminen ihmisen hyväksynnän taakse, suorittaminen hiekkalaatikoissa tarkastuslokeilla, ja salaisuuksien ja verkon lähdön tiukka rajoittaminen antaa sinulle mahdollisuuden saada autonomian vipuvaikutus ilman, että vedät tuotantoa siihen, että malli on oikein joka kerta.